26 mar 2018

Pentesting de aplicaciones móviles: iOS. Parte 2

Buenas a todos, en el post de hoy continuaremos con nuestra cadena de artículos sobre pentesting de aplicaciones móviles en iOS, hablando sobre la instalación de Burp para comenzar a interceptar peticiones, paso en el que nos quedamos en el último post.

Partiendo de nuestro acceso al dispositivo como usuario root, vamos a instalar desde Cydia los siguientes elementos:
  • BigBoss: Que contiene una lista de herramientas de línea de comandos muy útiles del tipo wget, unrar, less, etc.
  • adv-cmds: Que incluye algunos comandos avanzados del tipo finger, fingerd, last, lsvfs, md, y ps.
  • IPA Installer Console: Que permite instalar y extraer IPAs desde la consola de comandos.
  • cycript: Que permite inyectar código en procesos, entre otras cosas.





A continuación, lo siguiente que necesitaremos hacer será instalarnos algún proxy de interceptación como Burp, una de las herramientas más utilizadas en pentesting para la interceptación de peticiones. Para más información sobre Burp Suite Scanner os remitimos a su página oficial:


Ahora entraremos desde el termnal iOS al sitio web: "http://burp", configurando previamente el proxy de Burp:


Permitimos los ajustes que nos indica:



 Posteriormente instalaremos el perfil de Burp:



Ahora entraremos en Ajustes / General / Información /Ajustes de confianza de los certificados, tal y como se puede ver en la siguiente ventana, donde el certificado aun no es de confianza:



Y lo activaremos con el check pertinente:





Con todo esto ya estaremos listos para comenzar a interceptar las peticiones de nuestras APPs con Burp desde un ordenador.




Eso es todo por hoy, ¡nos vemos en el próximo post!




1 comentario:

  1. Excelente articulo, mas o menos andaba buscando como hacer esto con las IOS apps... se agradece!

    ResponderEliminar